Linux rappresenta ormai una parte fondamentale dell’infrastruttura digitale e sono sempre di più gli ambienti multi-cloud basati su questo sistema operativo. Le attuali contromisure contro il malware sono, però, per lo più concentrate sull’affrontare le minacce basate su Windows e ciò rende vulnerabili molte implementazioni di cloud pubbliche e private agli attacchi che prendono di mira i workload basati proprio su Linux mediante ransomware e cryptojacking. È quanto risulta dall’ultimo rapporto Exposing Malware in Linux-Based Multi-Cloud Environments di VMware.
“Il rapporto conferma una tendenza osservata da tempo”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “soprattutto in concomitanza di attacchi condotti da gang ransomware, ovvero l’aumento di attacchi contro sistemi Linux, cuore pulsante di molte infrastrutture cloud“.
Dal report di VMware si evince, inoltre, che:
- il ransomware si sta evolvendo per colpire le immagini host utilizzate per far girare i carichi di lavoro negli ambienti virtualizzati;
- l’89 per cento degli attacchi di cryptojacking utilizza librerie legate a XMRig;
- più della metà degli utenti di Cobalt Strike potrebbero essere criminali informatici, o almeno utilizzare Cobalt Strike in modo illecito.
Attacchi informatici: Italia sotto tiro, ma gli investimenti in cyber security non crescono
Indice degli argomenti
Allerta per le gang ransomware
D’altronde, è vero che le gang di cyber criminali agiscono a caccia di opportunità soprattutto finanziarie. In genere, scoprono una falla o individuano un punto di accesso in una rete, la penetrano per poi tentare di comprometterne dati e macchine.
“Molte gang criminali”, continua Paganini, “hanno sviluppato una versione Linux dei propri codici malevoli con l’intento di colpire strutture multicloud ed ambienti virtualizzati. L’intento è quello di ampliare la platea di potenziali vittime di attacchi che stanno diventando frequenti quanto pericolosi per le nostre imprese”.
Infatti le gang, che spesso svolgono attività di matrice finanziaria, utilizzando una tecnica semi-automatizzata “a strascico”, mettono nel mirino il maggior numero di aziende, per valutare solo in un secondo tempo, caso per caso, il riscatto da chiedere in base alle eventuali informazioni trafugate e al danno causato alla vittima.
“A farne le spese”, sottolinea ancora Paganini, sono proprio “le implementazioni di cloud pubbliche e private che utilizzano i sistemi presi di mira dagli attaccanti”.
Linux, il rischio cryptojacking
Ma non sono solo le gang ransomware a minacciare le piattaforme Linux. Infatti “dal rapporto emerge anche un altro aspetto”, mette in risalto Paganini: “gli attacchi non hanno esclusivamente finalità estorsive, bensì l’interesse nelle criptovalute ha fatto si che molti malware siano concepiti per minare moneta digitale, in particolare Monero (circa 89 per cento degli attacchi di cryptojacking)”.
Come riconosce il cryptojacking su Linux
Gli attacchi di cryptojacking si focalizzano sul mining della valuta Monero (o XMR). La VMware TAU ha scoperto che l’89% dei cryptominer ha sfruttato librerie legate a XMRig. Dunque, quando XMRig sfrutta librerie e moduli specifici, ciò è segno di un comportamento malevolo di cryptomining. La VMware TAU ha anche osservato che l’evasione della difesa è la tecnica più diffusa fra i cryptominer per Linux.
Purtroppo, poiché gli attacchi di cryptojacking non interrompono in maniera totale l’operatività degli ambienti cloud come il ransomware, sono molto più complesse da rilevare.
L’abuso di Cobalt Strike
“Interessante, infine”, conclude Paganini, “l’ampio ricorso da parte di attaccanti, documentato da tempo da molte aziende, a tool legittimi come Cobalt Strike. Si tratta di tool di post-esploitation utilizzati in attività lecite di red-teaming che sono abusati da attaccanti per controllare macchine infette e condurre movimenti laterali all’interno di infrastrutture di rete prese di mira.
Il coltellino svizzero per la cyber criminalità
Ideato come strumento di Red Teaming e quindi come strumento di sicurezza particolarmente utile per impedire che un attacco non vada a buon fine, Cobalt Strike da tempo si sta trasformando in un vero e proprio coltellino svizzero per la cyber criminalità. Con finalità opposte a ciò per cui era stato predisposto.
Utilizzato nelle attività di vulnerability assessment e penetration test, Cobalt Strike aiuta a individuare le falle di un sistema e poi punta ad utilizzarle con appositi exploit. Lo scopo è quello di dimostrare che quel sistema vulnerabile può subire attacchi e predisporre misure adeguate affinché non possa succedere. Tuttavia il criminale informatico cerca di raggiungere l’obiettivo opposto e quindi di condurre un cyber attacco redditizio.
Le scoperte di VMware TAU
La VMware TAU ha individuato oltre 14 mila Cobalt Strike Team Servers attivi su Internet nell’arco temporale tra febbraio 2020 e novembre 2021. La quota totale di ID clienti di Cobalt Strike craccati ed emersi è del 56%. Oltre la metà degli utenti di Cobalt Strike potrebbero risultare criminal hacker, o almeno sfruttare Cobalt Strike in modo illecito.
Dunque i RAT come Cobalt Strike e Vermilion Strike costituiscono una minaccia significativa per le imprese. “Da quando abbiamo condotto la nostra analisi, sono state osservate ancora più famiglie di ransomware che gravitano sul malware basato su Linux, con il potenziale per ulteriori attacchi che potrebbero sfruttare le vulnerabilità di Log4j“, spiega Brian Baskin, manager of threat research di VMware.
“I risultati di questo rapporto possono essere utilizzati per comprendere meglio la natura del malware basato su Linux e mitigare la crescente minaccia che ransomware, cryptomining e RAT hanno sugli ambienti multi-cloud. Poiché gli attacchi che prendono di mira il cloud continuano a evolversi, le organizzazioni dovrebbero adottare un approccio Zero Trust per incorporare la sicurezza in tutta la loro infrastruttura e affrontare sistematicamente i vettori di minacce che costituiscono la loro superficie di attacco”, conclude l’analista.
